Necessidade de algumas chamadas do sistema

I don't understand why do some system calls like create() file, read() file and close() should be executed only in kernel mode.

Bem, as chamadas do sistema, por definição, são executadas no modo kernel. No espaço do usuário, geralmente estão disponíveis através de funções de wrapper de bibliotecas que possuem o mesmo nome. De man 2 intro :

A system call is an entry point into the Linux kernel. Usually, system calls are not invoked directly: instead, most system calls have corresponding C library wrapper functions which perform the steps required (e.g., trapping to kernel mode) in order to invoke the system call. Thus, making a system call looks the same as invoking a normal library function.

(veja também man 2 syscall )

Como dito por @dirkt e @StephenKitt nos comentários, as chamadas do sistema que você mencionou precisam ser executadas no espaço do kernel porque elas precisam escrever na tabela de descritores de arquivos, acessar os drivers para E / S de arquivos, verificar direitos de acesso, etc. .

For example in create() and read() file, why can't it happen in userspace?

Em algumas plataformas (incluindo as baseadas no Linux), é bem possível executar o ES do sistema de arquivos a partir do espaço do usuário. É conhecido como FUSE e você pode ler o Filesystem in Userspace para uma introdução ao tópico.

Existem muitos sistemas de arquivos baseados em FUSE disponíveis, incluindo SSHFS (sistema de arquivos acima de ssh ) e S3QL (sistema de arquivos no armazenamento em nuvem).

O kernel medeia a camada entre o cliente de espaço do usuário (um programa aplicativo) e a implementação do FUSE para que as semânticas do sistema de arquivos sejam validadas e consistentes, mas o código IO real para creat() , open() , read() , write() , fcntl() , close() , etc. é executado a partir de um serviço de espaço do usuário.